İSTANBUL BİLGİ ÜNİVERSİTESİ LİSANSÜSTÜ PROGRAMLAR ENSTİTÜSÜ
HUKUK YÜKSEK LİSANS PROGRAMI
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Onur GÜNBEY 117613016
Tez Danışmanı
Dr. Öğr. Üyesi Nilgün BAŞALP YILDIRIM
İSTANBUL 2020
iii ÖNSÖZ
Tezimin yazım sürecinde gösterdiği destek ve paylaştığı bilgiler için tez danışmanım ve değerli hocam Dr. Öğretim Üyesi Nilgün Başalp Yıldırım’a
ve
hayatımın her aşamasında bana daima sevgiyle destek olan geniş ailemin tüm üyelerine ayrı ayrı teşekkürlerimi sunuyorum.
Av. Onur Günbey İstanbul, 2020
iv ÖZET
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Av. Onur GÜNBEY
Bilgi teknolojilerinde yaşanan gelişmeler, internet kullanımının ve veri işleme faaliyetlerinin yaygınlaşması veri temelli ekonomileri oluşturmaya başlamış ve kişisel verilerin korunmasına ilişkin ulusal ve uluslararası boyutta çeşitli ve kapsamlı düzenlemeler yapılmasının önünü açmıştır. Bununla birlikte; kişisel veri kavramının çok geniş bir kapsama sahip olması, kişisel verilerin otomatik yollarla işlenmesinin giderek artması ve bir insan hakkı olarak bireylere ait kişisel verilerin korunmasına ihtiyaç duyulması özellikle bu konuda veri sorumlularına bazı yükümlülükler getirilmesini gerektirmiştir. Çalışmanın özünü de veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülükleri oluşturmaktadır. Kanun uyarınca veri sorumlusunun esasen; aydınlatma yükümlülüğü, ilgili kişiler tarafından yapılan başvuruları cevaplandırma yükümlülüğü, Kişisel Verileri Koruma Kurulu kararlarını yerine getirme yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü, veri sorumluları siciline kayıt olma yükümlülükleri bulunmaktadır. Üç bölümden oluşan bu çalışmanın birinci bölümünde kişisel verilerin korunması hukukunun tarihsel gelişimi ve temel kaynakları, ikinci bölümünde kişisel verilerin korunması hukukunun temel kavramları ve veri sorumlusunun genel yükümlülükleri, üçüncü bölümünde ise veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülükleri detaylı bir şekilde incelenecektir. Bu çalışma ile veri sorumlularının Kanundan doğan yükümlülüklerinin güncel gelişmelerle birlikte irdelenerek uygulamadaki uyum süreçlerine ışık tutulması amaçlanmıştır.
Anahtar Kelimeler: Kişisel Verilerin Korunması, Veri Sorumlusu, Veri Sorumlusunun Yükümlülükleri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin İşlenmesi
v ABSTRACT
THE OBLIGATIONS OF DATA CONTROLLER UNDER LAW ON THE PROTECTION OF PERSONAL DATA
Av. Onur GÜNBEY
Developments in information technologies, increasing data processing activities and internet usage have begun to form the data-driven economies and thus catalyzed the legislative efforts at the national and international levels in this regard. Additionally, the broad concept of personal data, rising trends on data processing operations by automated means, and the necessity of protecting personal data as a human right required legislative authorities to impose the data controller with several obligations on this subject. The obligations of data controller under Law No. 6698 on the Protection of Personal Data, comprise the essence of this thesis. The data controller, pursuant to the Law, has the basic obligations of informing the data subject; responding to the requests of data subjects; complying with the board decisions of the Data Protection Authority; ensuring the data security; erasing, destructing or anonymizing the personal data; registering with the registry of data controllers. The thesis consists of three chapters. In the first chapter, historical development and primary sources of personal data protection law are reviewed. Then in the second chapter, basic concepts of data protection law, conditions of personal data processing and general obligations of data controller are reviewed. Finally, the obligations of data controller under Law No. 6698 on the Protection of Personal Data are analyzed in detail. The thesis aims to enlighten the compliance practices regarding data protection by scrutinizing the obligations of data controller arising from the Law and examining the most recent developments.
Keywords: Protection of Personal Data, Data Controller, Obligations of the Data Controller, Law No. 6698 on the Protection of Personal Data, Processing of Personal Data
vi İÇİNDEKİLER ÖNSÖZ……….……….iii ÖZET……….………....iv ABSTRACT……….………...v İÇİNDEKİLER……….………vi KISALTMALAR……….………...xiv GİRİŞ……….……….1 BİRİNCİ BÖLÜM KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TARİHSEL GELİŞİMİ VE TEMEL KAYNAKLARI 1. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TARİHSEL GELİŞİMİ ... 3
2. KİŞİSEL VERİLERİN KORUNMASI HAKKININ HUKUKİ NİTELİĞİ ... 7
2.1. Ekonomik Hak Olduğu Görüşü ... 8
2.1.1. Mülkiyet Hakkı Olduğu Görüşü ... 8
2.1.2. Fikri Mülkiyet Hakkı Olduğu Görüşü ... 9
2.2. İnsan Hakkı Olduğu Görüşü ... 9
3. KİŞİSEL VERİLERİN KORUNMASI ALANINDAKİ ULUSLARARASI MEVZUAT ... 10
3.1. OECD ... 10
3.2. Birleşmiş Milletler ... 11
3.2.1. İnsan Hakları Evrensel Bildirisi ... 12
3.2.2. Birleşmiş Milletler Medeni ve Siyasi Haklar Uluslararası Sözleşmesi... 12
vii
3.2.3. Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber
İlkeler ... 13
3.3. Avrupa Konseyi ... 14
3.3.1. 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 Sayılı Sözleşme) ve 181 Sayılı Ek Protokol ... 14
3.3.2. Avrupa İnsan Hakları Sözleşmesi ... 16
3.4. Avrupa Birliği ... 17
3.4.1. 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi ... 18
3.4.2. Avrupa Birliği Temel Haklar Şartı ... 19
3.4.3. 2002/58/EC Sayılı Haberleşme Sektöründe Özel Yaşamın Korunması ve Kişisel Verilerin İşlenmesi Direktifi ... 20
3.4.4. 2016/680 Sayılı Emniyet Teşkilatında Kişisel Verilerin Korunmasına İlişkin Direktif ... 21
3.4.5. 2006/24/EC Sayılı İletişim Trafik Verilerinin Saklanmasına Dair Direktif ... 22
3.4.6. 45/2001 ve 2018/1725 Sayılı Avrupa Birliği Kurumları Veri Koruma Tüzükleri ... 23
3.4.7. 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ... 24
4. KİŞİSEL VERİLERİN KORUNMASI ALANINDAKİ ULUSAL MEVZUAT ... 27
4.1. 1982 Anayasası ... 27
4.2. 6698 Sayılı Kişisel Verilerin Korunması Kanunu ... 29
viii
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TEMEL KAVRAMLARI VE VERİ SORUMLUSUNUN GENEL
YÜKÜMLÜLÜKLERİ
1. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TEMEL
KAVRAMLARI ... 33
1.1. Kişisel Veri ... 33
1.2. Özel Nitelikli (Hassas) Kişisel Veriler ... 35
1.3. Veri Sorumlusu... 37
1.4. Veri İşleyen ... 40
1.5. Açık Rıza ... 41
1.5.1. Genel Olarak ... 41
1.5.2. Açık Rızanın Unsurları ... 44
1.5.2.1. Belirli Bir Konuya İlişkin Olma……….43
1.5.2.2. Bilgilendirmeye Dayanma………...44
1.5.2.3. Özgür İradeye Dayanma……….46
1.5.2.4. Tereddüde Yer Bırakmayacak Açıklıkta İfade Edilme………47
1.5.3. Açık Rızanın Alınma Şekli ... 48
1.5.4. Açık Rızanın Geri Alınması ... 50
1.6. İlgili Kişi ... 51
1.7. Kişisel Verilerin İşlenmesi ... 52
1.7.1. Otomatik İşleme ... 53
1.7.2. Otomatik Olmayan Yollarla İşleme ... 53
ix
1.9. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi ... 54
1.9.1. Genel Olarak ... 54
1.9.2. Kişisel Verilerin Silinmesi ... 55
1.9.3. Kişisel Verilerin Yok Edilmesi ... 55
1.9.4. Kişisel Verilerin Anonim Hale Getirilmesi ... 56
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER... 56
2.1. Genel Olarak... 56
2.2. Hukuka ve Dürüstlük Kuralına Uygun Olma ... 57
2.3. Belirli, Açık ve Meşru Amaçlar İçin Toplanma (İşlenme) ... 58
2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma ... 59
2.5. Doğru ve Gerektiğinde Güncel Olma ... 60
2.6. İşlendiği Amaç İçin Gereken veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Edilme ... 61
2.7. Bütünlük ve Gizlilik ... 62
2.8. Hesap Verebilirlik ... 62
3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI ... 63
3.1. Genel Olarak... 63
3.2. Kişisel Verilerin İşlenme Şartları ... 63
3.2.1. İlgili Kişinin Açık Rızasının Bulunması ... 65
3.2.2. Açık Rızanın Aranmadığı Haller ... 66
3.2.2.1. Kanunlarda Açıkça Öngörülmesi………..64 3.2.2.2. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya
x
da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu
Olması………65
3.2.2.3. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması………..66
3.2.2.4. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması……….67
3.2.2.5. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması………68
3.2.2.6. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması……….69
3.2.2.7. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması………70
3.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları ... 74
3.3.1. Genel Olarak ... 74
3.3.2. Sağlık ve Cinsel Hayat Dışındaki Verilerin İşlenme Şartları ... 76
3.3.3. Sağlık ve Cinsel Hayata İlişkin Kişisel Verilerin İşlenme Şartları ... 77
3.4. Kişisel Verilerin Aktarılması ... 78
3.4.1. Genel Olarak ... 78
3.4.2. Kişisel Verilerin Yurt İçinde Aktarılması ... 78
3.4.3. Kişisel Verilerin Yurt Dışına Aktarılması ... 80
3.4.3.1. Genel Olarak………78
3.4.3.2. Yurt Dışına Veri Aktarımının Şartları………...80
3.4.3.2.1. Veri İşleme Şartının Bulunması………...80
3.4.3.2.2. Veri Aktarımının Yapılacağı Ülkede Yeterli Korumanın Bulunması……….81
xi
ÜÇÜNCÜ BÖLÜM
VERİ SORUMLULARININ KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDAKİ ÖZEL YÜKÜMLÜLÜKLERİ
1. AYDINLATMA YÜKÜMLÜLÜĞÜ ... 88
1.1. Genel Olarak... 88
1.2. Aydınlatma Yükümlülüğüne İlişkin Usul ve Esaslar ... 90
1.2.1. Aydınlatma Yükümlülüğünün Kapsamı ... 90
1.2.2. Aydınlatma Yükümlülüğüne İlişkin Usul ve Esaslar ... 92
1.2.3. Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Halinde Aydınlatma Yükümlülüğü ... 103
1.3. Katmanlı Bilgilendirme (Layered Privacy Statement / Notice) ... 104
1.4. İstisnalar... 106
1.5. İdari Yaptırım ... 108
2. İLGİLİ KİŞİLER TARAFINDAN YAPILAN BAŞVURULARI CEVAPLANDIRMA VE KURUL KARARLARINI YERİNE GETİRME YÜKÜMLÜLÜĞÜ ... 108
2.1. Genel Olarak... 108
2.2. İlgili Kişinin Hakları ... 109
2.3. Veri Sorumlusuna Başvuru Usulü ... 109
2.4. Şikâyet Hakkı ... 112
2.5. İstisnalar... 116
2.6. İdari Yaptırım ... 118
3. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER ... 118
3.1. Genel Olarak... 118
xii
3.3. Veri Güvenliğine İlişkin Teknik Tedbirler ... 124
3.4. İhlal Bildirimi ve Kurul Kararları ... 126
3.5. İdari Yaptırım ... 128
4. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ YÜKÜMLÜLÜĞÜ ... 129
4.1. Genel Olarak... 129
4.2. Kişisel Veri Saklama ve İmha Politikası ... 130
4.3. Kişisel Verilerin Silinmesi ... 131
4.4. Kişisel Verilerin Yok Edilmesi ... 133
4.5. Kişisel Verilerin Anonim Hale Getirilmesi ... 136
4.6. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesinde Süreler ... 140
4.6.1. Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri ... 140
4.6.2. Kişisel Verileri İlgili Kişinin Talep Etmesi Durumunda Silme ve Yok Etme Süreleri ... 140
4.7. Yaptırım ... 141
5. VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ ... 142
5.1. Genel Olarak... 142
5.2. Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim ... 142
5.3. Sicile Kayıt Yükümlülüğü ... 144
5.3.1. Kayıt Yükümlülüğünün Başlangıcı ... 144
5.3.2. Kayıt Yükümlülüğü Kapsamında İletilecek Bilgiler... 144
xiii
5.3.4. Veri Sorumlusu, Veri Sorumlusu Temsilcisi ve İrtibat Kişisinin
Yükümlülükleri ... 146
5.3.4.1. Türkiye’de Yerleşik Olmayan Veri Sorumluları Açısından Veri Sorumlusu Temsilcisi Belirleme Yükümlülüğü………145
5.3.4.2. Türkiye’de Yerleşik Tüzel Kişi Veri Sorumlularının İrtibat Kişisi Atama Yükümlülüğü………..146
5.3.5. Kurum ile İletişimin Sağlanması, Kayıt Bilgilerinde Değişiklikler ve Sicil Kaydının Silinmesi ... 149
5.4. Sicile Kayıt Yükümlülüğünün Kapsamı ve İstisnaları ... 149
5.4.1. Yönetmelikle Belirlenen İstisnalar ... 149
5.4.2. Kurul Kararlarıyla Belirlenen İstisnalar ... 150
5.5. Sicile Kayıt Yükümlülüğüyle İlgili Önemli Tarihler ... 153
5.6. İdari Yaptırım ... 154
SONUÇ……….………...155
xiv
KISALTMALAR a.g.e. : Adı geçen eser
AB : Avrupa Birliği
ABAD : Avrupa Birliği Adalet Divanı (Court of Justice of the European Union - CJEU)
AİHM : Avrupa İnsan Hakları Mahkemesi (The European Court of Human Rights)
AİHS : Avrupa İnsan Hakları Sözleşmesi (Convention for the Protection of Human Rights and Fundamental Freedoms) AK : Avrupa Konseyi (The Council of Europe)
Bkz. : Bakınız
BM : Birleşmiş Milletler
C. : Cilt
CNIL : Commission Nationale de l’Informatique et des Libertés (Bilgi ve Özgürlük Ulusal Komitesi - Fransa)
E. : Esas sayısı
EU : European Union (Avrupa Birliği)
GDPR : Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Genel Veri Koruma Tüzüğü - AB)
K. : Karar sayısı
KVKK : 6698 sayılı ve 24 Mart 2016 tarihli Kişisel Verilerin Korunması Kanunu
m. : Madde
OECD : The Organisation for Economic Co-operation and Development (Ekonomik İş Birliği ve Kalkınma Örgütü)
xv
S. : Sayı
TCK : 5237 sayılı ve 26 Eylül 2004 tarihli Türk Ceza Kanunu TMK : 4721 sayılı ve 22 Kasım 2001 tarihli Türk Medeni Kanunu vb. : ve benzeri
1 GİRİŞ
Kişisel verilerin korunmasına duyulan ihtiyaç teknolojinin gelişmesi, internetin hayatımıza girmesi ve bilgi teknolojilerinde yaşanan gelişmeler neticesinde daha önce hiç olmadığı kadar önemli bir noktaya gelmiştir. Bu doğrultuda son elli sene içerisinde kişisel verilerin korunmasına ilişkin ulusal ve uluslararası boyutta düzenlemeler yapılmıştır. Özellikle Avrupa Birliği’nin 95/46/EC sayılı Direktif ve GDPR başta olmak üzere kişisel verilerin korunması alanında yaptığı düzenlemeler, konuyla ilgili yasama faaliyeti yapma hazırlığına girişen birçok ülkeyi etkilemiştir.
Kişisel verilerin korunması alanında imzalayan devletler açısından bağlayıcı olan ilk uluslararası düzenleme Avrupa Konseyi’nin 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir. 1981 yılında ilk imzalayan devletlerden birisi olan Türkiye, 108 sayılı Sözleşme’yi imzalamasından yaklaşık otuz beş sene sonra, Avrupa Birliği’nin 1995 yılında kabul ettiği 95/46/EC sayılı Direktifi esas alarak bir yasama çalışması yapmış ve 2016 yılında 6098 sayılı Kişisel Verilerin Korunması Kanunu’nu kabul etmiştir.
Çalışmamızın temel amacı kişisel verilerin korunması hukukuna ilişkin temel kavram ve ilkeleri açıkladıktan sonra veri sorumlularının KVKK’dan kaynaklı yükümlülüklerine ilişkin detaylı bir inceleme yapmaktır. Bunu yaparken ulusal ve uluslararası mevzuattan, Kişisel Verileri Koruma Kurumu’nun yayınladığı rehberlerden, belgelerden ve Kişisel Verileri Koruma Kurulu’nun konuyla ilgili verdiği çeşitli kararlardan yararlanılmıştır.
Çalışmamızın birinci bölümünde kişisel verilerin korunması hukukunun tarihsel gelişimi, kişisel verilerin korunması ihtiyacının temelleri, kişisel verilerin korunması alanındaki ilk düzenlemeler, kişisel verilerin korunması hakkının bir insan hakkı mı yoksa bir ekonomik hak mı olduğu temel ayrımı üzerinden kişisel verilerin korunması hukuki niteliği, kişisel verilerin korunması alanındaki uluslararası ve ulusal mevzuat dikkate alınarak incelenmiştir.
Çalışmamızın ikinci bölümünde veri sorumlularının genel yükümlülüklerinin anlatılabilmesi adına; kişisel verilerin korunması hukukunun temel kavramları,
2
95/49/EC sayılı Direktif, GDPR ve KVKK ile karşılaştırmalı olarak kişisel verilerin işlenmesine ilişkin temel ilkeler, kişisel verilerin işlenme şartları ve ilgili Kurul kararları bağlantılı olduğu ölçüde inceleme konusu olmuştur. Özellikle kişisel verilerin işlenmesine ilişkin temel ilkeler ve işlenme şartlarının incelenmesi veri sorumlularının yükümlülüklerinin tam olarak anlaşılabilmesi bağlamında büyük önem arz etmektedir. Zira bu ilkelere ve veri işlenme şartlarına uymaksızın veri sorumlusu tarafından hukuka uygun bir veri işleme faaliyetinin gerçekleştirilmesi mümkün değildir. Bu sebeple ikinci ve üçüncü bölüm veri sorumlusunun KVKK kapsamındaki yükümlülüklerinin anlatımı açısından birlikte bir bütünlük arz etmektedir.
Çalışmamızın son bölümü olan üçüncü bölümünde ise KVKK kapsamında veri sorumlusunun özel yükümlülükleri ele alınmıştır. Bu kapsamda veri sorumlusunun; aydınlatma yükümlülüğü, ilgili kişiler tarafından yapılan başvuruları cevaplandırma ve kurul kararlarını yerine getirme yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü, veri sorumluları siciline kayıt olma yükümlülüğü detaylı şekilde incelenmiş, konuyla ilgili çeşitli Kurul kararları açıklanmış ve söz konusu yükümlülüklere uyulmaması durumunda ilgili veri sorumlusunun karşı karşıya kalabileceği yaptırımlar üzerinde durulmuştur.
3
BİRİNCİ BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TARİHSEL GELİŞİMİ VE TEMEL KAYNAKLARI
1. KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TARİHSEL
GELİŞİMİ
Tarih boyunca kişilere ilişkin veriler, diğer kişiler ve kurumlar için çeşitli sebeplerle önem arz etmiştir. Bu önem kişiler arası ilişkilerde bazen salt bir meraktan doğsa da çoğu zaman ekonomik, siyasi, sosyolojik ve teknolojik sebepler başta olmak üzere çeşitli sebeplere dayanmaktadır1.
18. yüzyılda Avrupa’da başlayan Sanayi Devrimi bireylerin çalışma hayatları ve bu eksende hayat koşullarında çok ciddi değişimler meydana getirmiştir; bu değişim kişisel verilerin korunmasına ilişkin yasal düzenlemelerin temellerinin atılmasına sebep oluşturacak yeni sosyo-ekonomik ve siyasi parametreler yaratmıştır. Örnek olarak; hızlı sanayileşme ile beraber artan fabrikalar, üretim ve çalışma alanlarında yüksek sayıda işçi çalıştıran işverenler, başta sağlıklı bir istihdam ilişkisinin tesis edilmesi ve sürdürülmesi gibi amaçlarla çalıştırdıkları işçilerin kişisel verilerini işlerken, aynı zamanda mal ve hizmetlerini sundukları pazarlardaki kişilerin çeşitli kişisel verilerini başta satış ve pazarlama gibi amaçlarla işlemeye ve gerek işçilerin gerekse pazardaki bireylerin verilerini sistematik şekilde tutmaya başlamışlardır. Diğer yandan, feodal yönetim biçiminin 15. yüzyılda zayıflamaya başlaması ve son kalıntılarının ise 18. yüzyılda başlayan Sanayi Devrimi ile birlikte yok olmasının ardından, önceki yönetim biçimlerine göre çok daha fazla kişisel veriye ihtiyaç duyan “modern devlet”, merkezi yönetim ile karmaşık bürokratik yapılanma esasına dayalı bir devlet modeli olarak 20. yüzyıl itibariyle tüm dünyaya yayılmıştır. Modern devlet gerek sosyal devlet anlayışının gerekliliklerini yerine getirmek ve planlamalar yapmak, gerekse vergi toplamak, ülke bütünlüğünü, toplumsal düzeni ve bireylerin güvenliğini sağlamak, istihbarat
4
faaliyetleri yürütmek, politikalar oluşturmak gibi amaçlar başta olmak üzere daha birçok amacı yerine getirebilmek için kişisel verilere, bilgiye ihtiyaç duymaktadır2.
Diğer bir ifadeyle modern devlet; ticari hayatın oluşturulması ve sürdürülmesi, toplumun düzen içinde varlığını devam ettirmesi, devletin siyasi, askeri ve diplomatik düzenini geliştirebilmesi ve daha da ötesinde devlet düzeninin sağlanması için bilgiye daima ihtiyaç duymuştur3.
Sanayi Devrimi’nin bir diğer sosyal sonucu olan kentleşmenin yükselişi ile insanların kalabalık şehirlerde yoğunlaşması ve çalışma hayatında daha çok kendini göstermesi bireylerde özel yaşamın gizliliği hakkının daha çok tartışılmasına sebep olmuştur4. Aynı dönemde güçlü bir gelişim ivmesi yakalayan teknoloji, kişisel
verilerin hem gerçek kişiler hem de kurumlar, şirketler ve devletler tarafından elde edilmesini, saklanmasını, işlenmesini ve transfer edilmesini daha da kolaylaştırmıştır. Bu durum, bireylerin özel hayatlarının dahi gözetlenebileceği ve kaydedilebileceği bir teknolojik seviyeye ulaştığından artık kişisel verilerin kontrol altına alınmadığı bir dünyada bireyler tehlikede olacaktır5. Zira son yüzyıl
içerisinde teknolojinin geldiği nokta itibariyle, çok büyük sayıda veriler farklı veri depolama aygıtları ile saklanabilmekte, elektronik ortamlara aktarılabilmekte, internet vasıtasıyla da tek bir tıklama ile dünyanın bir ucundan diğer ucuna transfer edilebilmektedir6.
Bireylerin kişisel verilerinin kolayca, kontrolsüzce ve hatta ilgilisinin izni dahi olmadan başka kişi ve kurumlar tarafından toplanması, işlenmesi, saklanması ve/veya transfer edilmesi tehlikesine karşın kişisel verilerin korunması gerekliliğine ilişkin ilk tartışmalar 1960’lı yıllarda başlamış, ilk yasal düzenleme ise 1970 yılında Almanya’nın Hessen eyaletinde kabul edilen “Hessen Veri Koruma Kanunu”dur
2 Küzeci, s. 22.
3 Aydın Akgül, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin
Korunması, Beta, İstanbul 2014, s.33.
4 Küzeci, s. 21.
5 Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 2. Baskı, Hukuk Akademisi
Yayınları, İstanbul 2019, s.6.
6 Murat Volkan Dülger, Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Bağlamında
Kişisel Verilerin Ceza Normlarıyla Korunması, İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi, C.3, S.2, 2016, s. 101-167.
5
(Hessisches Datenschutzgesetz). Bu federe devlet düzeyindeki yasal düzenlemeden sonra kişisel verilerin korunması hakkında dünyadaki ilk ulusal düzeydeki yasal düzenleme 1973 yılında İsveç’te kabul edilen İsveç Veri Yasası’dır. Her ne kadar 1970 tarihli Hessen Veri Koruma Kanunu federe düzeyde bir düzenleme olsa da Almanya’da ülke çapında ses getiren bu düzenleme, 1977 yılında “Federal Almanya Veri Koruma Kanunu”nun kabul edilmesinin önünü açmış ve federal düzeyde koruma getirilmiştir. Bunu takip eden kişisel verilerin korunması hukukundaki ulusal düzeyde kanunlaşma hareketleri olarak 1978 yılında Fransa’da 78-17 sayılı “Bilgi Teknolojileri, Veri Dosyaları ve İnsan Hakları Kanunu7” ve aynı
yılda Avusturya’da da “Avusturya Veri Koruma Kanunu” öne çıkmaktadır. 1980 yılı itibariyle Almanya, İsveç ve Fransa dışında neredeyse Avrupa Ekonomik Topluluğu’nun üyelerinin tamamının kişisel verilerin korunması konusunda bir çalışma yapmış veya hazırlıklarına başlamıştır8.
Her ne kadar 1970 ve 1980’li yıllarda Batı Avrupa’da kişisel verilerin korunmasına ilişkin yasama faaliyetleri yoğunlaşsa da aynı tarihlerde Amerika Birleşik Devletleri’nde (ABD) de veri koruması hukukuna ilişkin ilk yasama faaliyetlerinin yapıldığı görülmektedir. Bu kapsamda ABD Kongresi, bankacılık sisteminin etkili şekilde devam edebilmesi ve bu sistemin etkili devamının tesisi sırasında bireylere kendi kredi raporlarını görme, güncelliğini yitirmiş veya yanlış bilgilerin çıkarılmasını talep etme hakkı veren 15 U.S.C. § 1681 numaralı Adil Kredi Raporlama Yasası’nı (Fair Credit Reporting Act) 9 1970 yılında çıkarmıştır.
Bu kanun; tüketicilerin kredi ve sigorta bilgilerini, tüketici raporlama kuruluşları tarafından belirli ölçütlere göre toplanması ve bireylere ait kredi bilgilerinin belli şartlar altında kullanılması ve açıklanması gerektiğini düzenlemişken, kanun kapsamındaki tüketici raporlama kuruluşlarına faaliyetlerini sürdürürken
7 1978 tarihli ve 78-17 sayılı Bilgi Teknolojileri, Veri Dosyaları ve İnsan Hakları Kanunu’nun
orijinal metnine ve İngilizce çevirisine şu kaynaktan erişilebilir: https://www.ssi.ens.fr/textes/a78-17-text.html Erişim Tarihi: 1 Şubat 2020.
8 Andrew Charlesworth, “The Governance of the Internet in Europe”, The Internet, Law and
Society, Hazırlayanlar: Yaman Akdeniz, Clive Walker, David Wall, Pearson Education Limited, İngiltere 2000, s.63.
9 15 U.S.C. § 1681 numaralı Adil Kredi Raporlama Yasası’nı (Fair Credit Reporting Act)’in
orijinal metnine şu kaynaktan erişilebilir: https://www.law.cornell.edu/uscode/text/15/1681 Erişim Tarihi: 1 Şubat 2020.
6
tüketicilerin özel hayatlarının gizliliğine gerekli özeni gösterme sorumluluğu yüklemiştir. Kanunun çıkışını izleyen yıllarda ABD Kongresi tarafından 1974 yılında 5 U.S.C. §552a sayılı Özel Hayatın Gizliliği Yasası (The Privacy Act)10
kabul edilmiştir. İçeriğinde kişilere ilişkin verilerin hangi kapsamda kullanılabileceği ve açıklanabileceğine ilişkin kurallar, sınırlamalar ve istisnalar barındıran bu kanun, özellikle kurumlara tanıdığı ayrıcalıklı veri kullanım hakları sebebiyle amacını tam olarak yerine getirememiştir.
Avrupa’ya tekrar dönecek olursak kişisel verilerin korunması hukukunda yargı kararı 1983 yılında Almanya Federal Anayasa Mahkemesi tarafından verilmiştir. Söz konusu karara, 1983 yılında yapılması planlanan nüfus sayımı için 1982 yılında Federal Alman Meclisi tarafından çıkarılan Nüfus Sayımı Yasası (Volkszählungsgesetz 1982) konu olmuştur. Alman hükümeti bu yasa ile ülke çapında yapılacak nüfus sayımı sırasında vatandaşlardan nüfus sayımının amacının ötesinde bazı bilgileri toplamayı hedeflemiş, bu hedefi gerçekleştirmek adına vatandaşlara birçok kişisel veri açıklama yükümlülüğü getirilmiş ve nüfus sayımı için gelen memurlarla söz konusu verileri paylaşmayan vatandaşlara ise belirli yaptırımlar öngörmüştür11. Hükümet nüfus sayımı sırasında 160 soruluk bir formun
vatandaşlar tarafından cevaplanmasını ve bu formların uzun bir süre boyunca saklanılmasını hedeflemiştir12. Cevaplanması istenilen sorular arasında bireylerin
çok çeşitli tercihlerinin öğrenilmesine imkân verecek kişinin dininin, mesleğinin, çalışma şartlarının, gelirinin ne olduğu gibi sorular bulunmaktaydı13. Ulaşılmak
istenen amaç itibariyle nüfus sayımının sınırlarını aşan bu kanun her ne kadar kamuoyunda devlet tarafından ölçüsüzce kişisel veri toplanacağı sebebiyle tepkiyle
10 5 U.S.C. § 552a sayılı Özel Hayatın Gizliliği Yasası (The Privacy Act)’in orijinal metnine şu
kaynaktan erişilebilir: https://www.law.cornell.edu/uscode/text/5/552a Erişim Tarihi: 1 Şubat 2020.
11 Gerrit Hornung, Chrsitoph Schnabel, “Data Protection in Germany I: The Population Census
Decision and The Right to Informational Self-Determination”, Computer Law & Security Review, Cilt 25, Sayı 1, s. 84-88, Ocak 2009, s.85; Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta, İstanbul 2008, s. 114-119.
12 Furkan Güven Taştan, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. Baskı, On
İki Levha Yayınları, İstanbul 2017, s.5.
13 Paul Schwartz, “Computer in German and American Constitutional Law: Towards an American
Right of Informational Self-Determination”, American Journal of Comparative Law, Cilt 37, s. 675-702, 1989, s. 687.
7
karşılansa da Alman parlamentosunun her iki kanadı tarafından oy birliği ile kabul edilmiştir14. Ancak ciddi eleştirilere maruz kalan yasa, Federal Alman Anayasa
Mahkemesi tarafından bireylerin temel hak ve özgürlüklerinin ihlal edileceği gerekçesi detaylı şekilde açıklanarak anayasaya aykırı bulunmuş ve iptal edilmiştir. Bu kararın uluslararası boyutta ses getirmesinin yanında bir diğer önemli husus ise mahkemenin Federal Almanya Cumhuriyeti Anayasası’nın insan onurunun korunması hakkı (m. 1/1) ile bireyin kişiliğini serbestçe geliştirme hakkı (m. 2/1) hükümlerini sentezleyerek “bireyin bilginin geleceğini belirleme hakkı”nı (Almancası “informationelle Selbstbestimmung”, İngilizcesi “Informational
Self-Determination”) yeni bir hak olarak türetmiştir15. Bugün Almanya’da belki de
Avrupa Birliği’nin en katı veri koruma yasalarının olmasının16 altında bu tarihi
olayın yattığı söylenebilir17.
Veri koruma hukuku, hızla gelişen teknoloji karşısında yeni sınırlar çizmek, gelişmelere ayak uydurmak ve ilerlemek için sürekli ve hızlı değişikliklerin yaşanacağı bir hukuk dalı olmaya devam edecektir. Özellikle bilişim teknolojilerinin gelişme hızı düşünüldüğünde veri koruma hukukunda belki de devrim niteliğinde sayılabilecek yeni konseptlerin ve yasal düzenlemelerin yakın tarihlerde hayatlarımıza gireceği bir gerçektir.
2. KİŞİSEL VERİLERİN KORUNMASI HAKKININ HUKUKİ
NİTELİĞİ
Doktrinde, kişisel verilerin korunması hakkının hukuki niteliğine ilişkin çeşitli görüşler mevcuttur. Bu görüşler genel olarak kişisel verilerin korunması hakkının dayandığı temel menfaatlerden hareketle birbirlerinden ayrılmaktadırlar. Özellikle Avrupa’da ve ABD’de kişisel verilerin korunması ile aslında hangi menfaatin gözetildiği konusunda tarihi akışta iki farklı yaklaşım gelişmiştir.
14 Hornung/Schnabel, s. 85; Küzeci, s.70.
15 Eva Fialova, Data Portability and Informational Self-Determination”, Masaryk Univerity Journal
of Law and Technology, Cilt 8, Sayı 1, s. 45-55, 2014, s.47; Schwartz, s. 687.
16 Samantha Diorio, “Data Protection Laws: Quilts versus Brackets”, Syracuse Journal of
International Law and Commerce, Cilt 42, s. 485-513, 2014, s.502.
8
Bunlardan bir tanesi korunan esas menfaatin insan haklarına ilişkin olduğunu ileri süren Avrupa yaklaşımı, diğeri ekonomik haklara ilişkin olduğunu ileri süren ABD yaklaşımıdır.
2.1. Ekonomik Hak Olduğu Görüşü
Kişisel verilerin korunmasını hakkını daha çok ekonomik bir hak olarak ele alan ve hakkın dayandığı menfaati insan hakları ile yakından ilişkilendirmeyen bir yaklaşımdır. Kendi içinde ikiye ayrılan bu görüş daha çok ABD’de savunulan bir görüştür.
2.1.1. Mülkiyet Hakkı Olduğu Görüşü
Mülkiyet hakkı; kişinin sahip olduğu şey üzerinde kullanma (usus), yararlanma, semerelendirme (fructus) ve tasarrufta bulunma (temlik etme, üzerinde hak tesis etme, yok etme) (abusus) yetkilerinin tümüne sahip olmasını ifade eder18.
Bu görüşün savunucuları kişisel verilerin adeta bir eşya olduğundan hareketle, veri sahibinin bu veriler üzerinde tasarruf yetkisinin olduğunu ifade ederler. Dolayısıyla kişisel veri, verilerin sahibi olan ilgili kişinin malvarlığının bir parçasıdır ve kişi malik olduğu diğer şeyler üzerinde sahip olduğu mülkiyete ilişkin kullanma, yararlanma ve tasarrufta bulunma yetkilerine kişisel verileri üzerinde de sahiptir. Örneğin bu görüşe göre kişisel verinin sahibi bu kişisel verilerin mülkiyetini para karşılığında satabilecektir19.
Kişisel verilerin korunması hakkının mülkiyet hakkına dayandığını savunan bu görüşe göre kişisel veriler, temel bir hak ve özgürlük olarak değil, kapitalist ekonomik sistem altında korunmaktadır. Nitekim bu görüşün yaygın olduğu ABD’de kişisel veriler anayasal koruma ile temel hak ve özgürlükler olarak düzenlenmemiş, daha çok sektörel bazda düzenlemeler yapılarak çeşitli korumalar getirilmiştir20.
18 Şeref Ertaş, Eşya Hukuku, 10. Baskı, Barış Yayınları, İzmir 2012, s. 13; Lale Sirmen, Eşya
Hukuku, Yetkin Yayınları, Ankara 2013, s. 261.
19 Taştan, s. 55. 20 Dülger, s. 17.
9
Bu görüşle ilgili doktrinde ve Avrupa Birliği Adalet Divanı kararlarında, bu görüşün kabul edildiği düzenlemelerde yeterli ölçüde güvencelerin olmaması sebebiyle bireylerin haklarının ihlal edildiği21, mülkiyet hakkı ile kişisel verilerin
korunması kavramlarının birbiriyle uyumsuz konseptler olduğu gibi sebeplerle çeşitli eleştiriler bulunmaktadır22.
2.1.2. Fikri Mülkiyet Hakkı Olduğu Görüşü
Bireyin kendi fikri ürünleri üzerinde sahip olduğu haklara fikri haklar denmektedir23. ABD’de yaygın olan bu görüşün savunucuları kişisel verilerin
korunması ile fikri mülkiyet hakkını benzer ve bağlantılı bulmakta ve kişisel verilerin telif hakkına benzer bir sistemle korunabileceğini ileri sürmektedirler24.
Burada kişisel veri sahibi olan ilgili kişi, adeta bir eser sahibi gibi düşünülmekte ve kişinin kendi eseri üzerindeki fikri mülkiyet hakkı kapsamında sahip olduğu manevi haklar gibi haklara sahip olduğu ileri sürülmektedir. Bu görüşe göre kişisel veri sahibi bu veriler üzerindeki manevi haklarını saklı tutarak mülkiyetini üçüncü kişilere veya şirketlere devredebilecektir.
Bu görüşle ilgili eleştirilerle bir önceki başlıkta anlattığımız mülkiyet hakkına ilişkin yapılan eleştiriler birbiriyle benzerlik göstermektedir25.
2.2. İnsan Hakkı Olduğu Görüşü
Kişisel verilerin korunması hakkının temel bir insan hakkı olduğunu savunan görüşün esasen çıkış noktası Avrupa’dır26. Bu görüşü savunanlar fikirlerini bireyin
özel hayatının gizliliği ve mahremiyetinin korunması çerçevesine oturtmaktadır27.
Her ne kadar bilgi önceki dönemlere nazaran bugün çok daha önemli bir ekonomik değer ifade etse de günümüzde kişisel verilerin korunmasının temel bir
21 Sinem Göçmen Uyarer, Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Kapsamında
Kişisel Verilerin Korunması, Seçkin Yayınevi, 2019, s.25.
22 Pamela Samuelson, “Privacy as Intellectual Property?”, Stanford Law Review, Cilt 52, s.
1125-1173, 2000, s. 1138. 23 Taştan, s. 57. 24 Küzeci, s. 66. 25 Uyarer, s.28. 26 Küzeci, s. 69. 27 a.g.e.
10
insan hakkı (veya doktrindeki bazı yazarların ifadesiyle “kişilik hakkı”) olduğu görüşü baskındır28.
3. KİŞİSEL VERİLERİN KORUNMASI ALANINDAKİ
ULUSLARARASI MEVZUAT
3.1. OECD
Kişisel verilerin korunması alanındaki ilk uluslararası düzenleme Ekonomik İş Birliği ve Kalkınma Örgütü (OECD)29 tarafından 23 Eylül 1980 tarihinde kabul
edilen Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler’dir30 (İngilizcesi “Protection of Privacy and
Transborder Flows of Personal Data”).
Kişisel verilerin korunmasına ilişkin asgari gerekliliklerin düzenlendiği Rehber İlkeleri bir tavsiye kararı niteliğinde olduğundan, OECD’ye üye olan devletler için herhangi bir bağlayıcılığı bulunmamaktadır31.
Rehber İlkeler, üye ülkelere kişisel verilerin korunması kapsamında yasal düzenlemelerde ve politikalarda dikkat edilmesi gereken asgari ölçütlere ilişkin tavsiyeleri ve bu konuda aşağıda sayılan sekiz ilkeyi içermektedir:
• “1. İlke: Veri toplamanın sınırlı olması ilkesi (m. 7),
• 2. İlke: Verilerin belirli bir nitelikte olması (veri kalitesi) ilkesi (m. 8), • 3. İlke: Amacın belirliliği ilkesi (m. 9),
• 4. İlke: Sınırlı kullanım ilkesi (m. 10),
28 a.g.e.
29 The Organisation for Economic Co-operation and Development (OECD) - Ekonomik İş Birliği
ve Kalkınma Örgütü 1961 yılında, üye ülkelerde demokrasinin, insan haklarının ve ekonominin gelişimine, küresel ticaretin büyütülmesine, yaşam standartlarının yükseltilmesine, işsizliğin azaltılmasına katkı sağlamak amacıyla Türkiye’nin de arasında olduğu yirmi kurucu ile kurulmuştur. Bkz. http://www.oecd.org/ Erişim Tarihi: 2 Şubat 2020.
30 23 Eylül 1980 tarihli “OECD Guidelines on the Protection of Privacy and Transborder Flows of
Personal Data”nın orijinal metnine şu kaynaktan erişilebilir: https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderfl owsofpersonaldata.htm Erişim Tarihi: 2 Şubat 2020. Bundan sonra “Rehber İlkeler” olarak anılacaktır.
31 Nilgün Başalp, Kişisel Verilerin Korunması ve Saklanması, Yetkin Yayınları, Ankara 2004, s.
11
• 5. İlke: Veri güvenliği ilkesi (m. 11), • 6. İlke: Açıklık ilkesi (m. 12),
• 7. İlke: Bireyin katılımı ilkesi (m. 13), • 8. İlke: Hesap verilebilirlik ilkesi (m. 14)”
Her ne kadar tavsiye niteliğinde olması itibariyle üye devletler açısından bağlayıcılığı olmasa da ülkelerin kişisel verilerin korunmasına ilişkin mevzuatında Rehber İlkeler’in dikkate alındığı görülmektedir. 2016 yılında çıkan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun hazırlanma evresinde de Rehber İlkeler dikkate alınmış, Kanun’un genel gerekçesinde de Rehber İlkeler’e atıflarda bulunulmuştur.
Gelişen teknoloji ve değişen ihtiyaçlar doğrultusunda veri koruma ihtiyacındaki dünya çapındaki artış sebebiyle Rehber İlkeler, 2013 yılında OECD tarafından revize edilmiştir32. Bu kapsamda ulusal gizlilik stratejileri, gizlilik
yönetimi programları ve veri güvenliğini ihlal bildirimi konularında yeni bazı fikirler benimsenmiştir.
3.2. Birleşmiş Milletler
II. Dünya Savaşı’ndan sonra, dünyadaki barış ve güvenliğin tesis edilmesi, insan hakları ile temel hak ve özgürlüklerin güvence altına alınarak geliştirilmesi, sürdürülebilir kalkınmanın desteklenmesi amaçlarının gerçekleştirilmesi için 24 Ekim 1945 tarihinde Türkiye Cumhuriyeti’nin de arasında olduğu 51 devletin üyeliğiyle kurulan Birleşmiş Milletler’in33 (BM) günümüz itibariyle 193 üyesi
bulunmaktadır.
32 The OECD Privacy Framework. 2013 yılında OECD tarafından yapılan revizyondan sonra Rehber
İlkeler’in İngilizce metnine şu kaynaktan erişilebilir: https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf Erişim Tarihi: 2 Şubat 2020.
33 Birleşmiş Milletler (United Nations) hakkında daha detaylı bilgiye şu kaynaktan erişilebilir:
12 3.2.1. İnsan Hakları Evrensel Bildirisi
BM, 10 Aralık 1948 tarihinde “İnsan Hakları Evrensel Bildirisi”ni34 kabul
ederek insan haklarının korunması alanında dünya çapında ses getiren ve kısa bir zaman diliminde yaygın bir coğrafyada benimsenen bir uluslararası düzenleme yapmıştır. Çalışma konumuz itibariyle Bildiri’nin özel hayatın gizliliği hakkını düzenlediği 12. maddesi içerik itibariyle önem arz etmektedir. Bildiri 12. maddesinde; “Hiç kimse özel hayatı, ailesi veya haberleşmesine yönelik keyfi
müdahalelere ya da onur ve şöhretine karşı saldırılara maruz bırakılamaz. Herkesin bu müdahale veya saldırılara karşı kanun yolu ile korunma hakkı vardır.”
hükmünü düzenlemiştir. Kişisel verilerin korunması hukukunun tarihsel gelişiminde yaşanan olayların çıkış noktaları genellikle bireylerin özel hayatlarının gizliliğinin müdahale edilerek devletlerce ihlal edilmesi olmuştur. Bu durum devletlerce bireyin özel hayatın gizliliği hakkını tanımasını, korumasını ve geliştirmesini talep etmesi sonucunu doğurmuştur.
3.2.2. Birleşmiş Milletler Medeni ve Siyasi Haklar Uluslararası Sözleşmesi BM genel kurulunca 1966 yılında kabul edilmesinin ardından, 1976 yılında yürürlüğe giren Medeni ve Siyasi Haklar Uluslararası Sözleşmesi’nin35 çalışma
konumuz itibariyle önem arz eden “Mahremiyet Hakkı” başlıklı 17. maddesinde, Bildiri’nin bir üst başlık altında alıntıladığımız 12. maddesini neredeyse birebir tekrar ederek düzenlemiştir. Ek olarak, BM İnsan Hakları Komitesi, bahsi geçen 17. maddenin kapsamını açıkladığı 16. Genel Yorum’unda, bireylerin kişisel verilerinin korunması hakkının bireyin özel hayatının gizliliği hakkı kapsamında gördüğünü açıklamıştır.
34 İnsan Hakları Evrensel Bildirisi’nin (İngilizcesi Universal Declaration of Human Rights)
günümüz itibariyle 523 dildeki tercümesinin bulunduğu internet sayfasına şu uzantıdan erişilebilir: https://www.ohchr.org/EN/UDHR/Pages/Language.aspx?LangID=trk Erişim Tarihi: 2 Şubat 2020. Bundan sonra “Bildiri” olarak anılacaktır.
35 Medeni ve Siyasi Haklar Uluslararası Sözleşmesi’nin (İngilizcesi International Covenant on Civil
and Political Rights) İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx Erişim Tarihi: 4 Şubat 2020.
13
3.2.3. Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler
BM’nin doğrudan doğruya kişisel verilerin korunmasına ilişkin yaptığı ilk düzenleme 14 Aralık 1990 tarihinde BM Genel Kurulu tarafından kabul edilen “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler”dir36.
Teknolojinin gelişmesiyle beraber internet ve bilgisayarların kişisel veri ihlallerine daha kolay bir zemin hazırlıyor olması sebebiyle metin içerisinde aşağıdaki ilkeler kabul edilmiştir:
• “Verilerin meşru ve dürüst yollarla toplanması ve işlenmesi ilkesi • Verilerin doğruluğu ilkesi
• Amacın belirliliği ilkesi • İlgili kişinin erişimi ilkesi • Ayrımcılık yasağı ilkesi • Veri güvenliği ilkesi • Denetim ve yaptırım ilkesi • Verilerin sınır ötesi akışı ilkesi”
Bahsi geçen düzenleme, Denetim ve Yaptırım başlıklı A.8. maddesi ile kişisel verilerin korunmasına ilişkin rehber ilkelere uyulup uyulmadığını denetlemek için kanunla oluşturulacak yetkili ve bağımsız bir veri koruma otoritesinin kurulması gerektiğini işaret eden ilk uluslararası düzenleme olmuştur37. Ancak hukuken bir
tavsiye kararı niteliğinde olan ve üye devletler açısından bağlayıcılığı olmayan bu ilkelerin BM’nin uluslararası etki seviyesine rağmen OECD Veri Koruma İlkeleri ve AK Sözleşmesi’ne kıyasla çok daha kısıtlı bir etkisi olmuştur38.
36 Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler’in (İngilizcesi Guidelines
for the Regulation of Computerized Personal Data Files) İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.refworld.org/pdfid/3ddcafaac.pdf Erişim Tarihi: 4 Şubat 2020.
37 Lee A. Bygrave, Data Protection Law (Approaching Its Rationale, Logic and Limits), Kluwer
Law International, Hollanda 2002, s. 73, 350.
14 3.3. Avrupa Konseyi
II. Dünya Savaşı’ndan sonra kurulan ve kişisel verilerin korunması alanında uluslararası düzenlemeler yapan bir diğer kuruluş da Avrupa Konseyi’dir (AK)39. 5
Mayıs 1949 tarihinde AK Statüsü’nün40 Londra’da imzaya açılmasının ardından
Türkiye’nin de hemen imza atmak suretiyle üyesi olduğu Konsey, insan hakları ve özgürlüğünü, hukukun üstünlüğünü koruyup güçlendirmeyi ve bu değerlere sahip olan üye ülkeler arasında sıkı bir birlik geliştirmeyi amaçlamaktadır.
3.3.1. 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 Sayılı Sözleşme) ve 181 Sayılı Ek Protokol
Kişisel verilerin korunması alanındaki uluslararası düzenlemeler içerisinde imzalayan devletler açısından bağlayıcılığı bulunan ilk hukuki belge 28 Ocak 1981 tarihinde AK tarafından Strazburg’da imzaya açılan ve beş devletin imzalaması ile 1 Ekim 1985 tarihinde yürürlüğe giren 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir41.
Türkiye, her ne kadar 108 Sayılı Sözleşme’yi imzaya açılma tarihi olan 28 Ocak 1981 tarihinde imzalamış ise de onay kanunu42 ancak 17 Mart 2016 tarihli ve
29656 sayılı Resmî Gazete’de yayımlanabilmiş43 ve bu tarih itibariyle 108 Sayılı
Sözleşme Türkiye Cumhuriyeti’nde bağlayıcı hale gelmiştir. Böylece Türkiye
39 Bundan sonra “AK” veya “Konsey” olarak anılacaktır.
40 Avrupa Konseyi Statüsü (İngilizcesi Statute of the Concil of Europe) ile ilgili detaylı bilgi ve
İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/001 Erişim Tarihi: 5 Şubat 2020.
41 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesi (İngilizcesi Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) ile ilgili detaylı bilgi ve İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.coe.int/en/web/conventions/search-on-treaties/-/conventions/treaty/108 Erişim Tarihi: 6 Şubat 2020. Bundan sonra “108 Sayılı Sözleşme” olarak anılacaktır.
42 6669 sayılı ve 30 Ocak 2016 tarihli “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında
Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun”a şu uzantıdan erişilebilir: https://www.resmigazete.gov.tr/eskiler/2016/02/20160218-2.pdf Erişim Tarihi: 6 Şubat 2020.
43 108 Sayılı Sözleşme’nin Resmî Gazete’de yayımlanan Türkçe metninin bulunduğu sayfaya şu
uzantıdan erişilebilir: https://www.resmigazete.gov.tr/eskiler/2016/03/20160317-2.pdf Erişim Tarihi: 6 Şubat 2020.
15
sözleşmeyi ilk imzalayan devletlerden biri olurken, onaylayarak iç hukukunda yürürlüğe koyan son ülke olmuştur44. Sözleşme AK üye devletlerine ek olarak üye
olmayan devletlerin de imzasına açıktır.
108 Sayılı Sözleşme’de kişisel verilerin korunması hakkı özel hayatın gizliliğinden ayrı bir hak olarak koruma altına alınmış ve sözleşmenin “Veri Korumasına İlişkin Temel İlkeler” başlıklı II. Bölümünde taraf devletlerin uymaları gereken aşağıdaki ilkeler düzenlenmiştir:
• Veri kalitesi (verilerin belirli bir nitelikte olması) (m. 5)
• Özel veri kategorileri (hassas nitelikteki kişisel verilerin özel olarak korunması) (m. 6)
• Veri güvenliği (verilere erişim yetkilerinin belirlenmesi ve saklama alanlarına ilişkin tedbirlerin alınması) (m. 7)
• İlgili kişinin hakları (ilgili kişiye bilgi alma, verilerinin düzeltilmesini, silinmesini talep etme, yasal yollara başvurma hakkı verilmesi) (m. 8)
108 Sayılı Sözleşme’nin V. Bölümü uyarınca sözleşmenin yürürlüğe girmesinin akabinde bir Danışma Komitesi oluşturulmuştur. Bu komitenin sözleşme maddelerini yorumlamak, değişiklik tekliflerinde bulunmak, sözleşmenin kapsamına giren uygulamaları geliştirmek gibi fonksiyonları bulunmaktadır45.
Danışma Komitesi 8 Kasım 2001 tarihinde 181 Sayılı Ek Protokol’ü46 imzaya
açmış ve bu Ek Protokol beş devlet tarafından onaylandıktan sonra 1 Temmuz 2004 tarihinde 108 Sayılı Sözleşme’nin ek bir protokolü olarak yürürlüğe girmiştir. 181 Sayılı Ek Protokol, taraf devletler için 108 Sayılı Sözleşme’de bulunmayan veri işleme ve koruma faaliyetlerini denetlemek üzere bağımsız bir veri koruma otoritesinin kurulmasını öngörmüş, ayrıca ülkeler arasında yapılan kişisel veri transferlerine ilişkin birtakım kurallar belirlemiştir.
44 Dülger, s. 28.
45 Bkz. 108 Sayılı Sözleşme’nin 18. maddesi.
46 181 Sayılı Ek Protokol’ün (İngilizce tam ismi Additional Protocol to the Convention for the
Protection of Individuals with regard to Automatic Processing of Personal Data, regarding Supervisory Authorities and Transborder Data Flows) İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680080626 Erişim Tarihi: 7 Şubat 2020.
16
108 Sayılı Sözleşme, 18 Mayıs 2018 tarihinde AK Bakanlar Komitesi tarafından Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinde Değişiklik Yapılmasına Dair Protokol’ün47 kabul
edilmesiyle yenilenmiş48 ve bilişim teknolojilerinin getirdiği yeniliklere
uyumlanmak için daha etkili veri koruma kuralları getirdiğini işaret etmek adına bu değişikliklerden sonra 108 Sayılı Sözleşme “Convention 108+” veya “108+” ismiyle anılmıştır49.
3.3.2. Avrupa İnsan Hakları Sözleşmesi
Avrupa Konseyi tarafından 4 Kasım 1950 tarihinde kabul edilerek Roma’da imzaya açılan Avrupa İnsan Hakları Sözleşmesi50 (AİHS) günümüzde hala insan
hakları alanındaki en önemli uluslararası düzenlemelerin başında gelmektedir51.
Özellikle 1959 yılında Avrupa İnsan Hakları Mahkemesi’nin (AİHM) Strazburg’da uluslararası mahkeme statüsünde kurulmasıyla birlikte ile AİHS’in insan hakları alanındaki en etkili uluslararası sözleşme olduğu söylenebilir52.
Her ne kadar AİHS bünyesinde kişisel verilerin korunmasına ilişkin müstakil bir düzenleme bulunmasa da çalışma konumuz açısından önemli gördüğümüz özel hayatın gizliliği hakkının korunduğu AİHS’in “Özel ve Aile Hayatına Saygı” başlıklı 8. maddesinde şu hüküm düzenlenmiştir53:
47 Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesinde Değişiklik Yapılmasına Dair Protokol (İngilizcesi Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) İngilizce metninin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/09000016808ac918 Erişim Tarihi: 7 Şubat 2020.
48 Dülger, s.29; bkz.
https://www.coe.int/en/web/data-protection/-/modernisation-of-convention-108 Erişim Tarihi: 7 Şubat 2020.
49 Bkz.
https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1 Erişim Tarihi: 7 Şubat 2020.
50 Avrupa İnsan Hakları Sözleşmesi’ne (İngilizce tam ismi Convention for the Protection of Human
Rights and Fundamental Freedoms) ilişkin detaylı bilgilerin bulunduğu sayfaya şu uzantıdan erişilebilir: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/005 Erişim Tarihi: 9 Şubat 2020. Bundan sonra “AİHS” olarak alınacaktır.
51 Küzeci, s.138. 52 Dülger, s. 30.
53 Avrupa İnsan Hakları Sözleşmesi’nin İngilizce metnine şu uzantıdan erişilebilir:
https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680063765 Erişim Tarihi: 9 Şubat 2020.
17
“(1) Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı
gösterilmesi hakkına sahiptir.
(2) Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.”54
AK bünyesinde kişisel verilerin korunmasına ilişkin ilk düzenleme böylece AİHS’in yukarıda alıntılanan 8. maddesi tahtında gerçekleştirilmiştir55. Nitekim
AİHM, 8. madde ile ilgili verdiği birçok kararında bireyin kişisel verilerinin korunması hakkının AİHS’in 8. maddesi başlığı altında korunduğunu belirtmiştir56.
3.4. Avrupa Birliği
II. Dünya Savaşı’nın olumsuz etkilerinin silinmesi ve kalıcı barışın sağlanması için kurulan bir diğer uluslararası oluşum Avrupa Birliği’dir57. İlk
olarak 1951 yılında imzalanan Paris Antlaşması ile Avrupa Ekonomik Kömür ve Çelik Topluluğu adıyla kurulsa da daha sonra 1957 yılında imzalanan Roma Antlaşması ile Avrupa Ekonomik Topluluğu’na dönüşmüştür. Son olarak AB, 1992 yılında imzalanan Maastricht Antlaşması (diğer adıyla Avrupa Birliği Antlaşması) ile Avrupa Ekonomik Topluluğu, ekonomik ve parasal birlik ile ortak dışişleri ve güvenlik politikalarını tesis etmek üzere, Avrupa Birliği adını almıştır.
54 Avrupa İnsan Hakları Sözleşmesi’nin Türkçe metnine şu uzantıdan erişilebilir:
https://www.danistay.gov.tr/upload/avrupainsanhaklarisozlesmesi.pdf Erişim Tarihi: 9 Şubat 2020.
55 Başalp, s.25.
56 Taştan, s. 13; Konuyla ilgili başlıca AİHM kararlarına ilişkin künyeleri inceleyebilirsiniz: AİHM,
Klass ve Diğerleri v. Almanya, 5029/71 sayılı ve 6 Eylül 1978 tarihli; AİHM, Malone v. Birleşik Krallık, 8697/79 sayılı ve 2 Ağustos 1984 tarihli; AİHM, Leander v. İsviçre, 9248/81 sayılı ve 26 Mart 1987 tarihli; AİHM, Gaskin v. Birleşik Krallık, 10454/83 sayılı ve 7 Temmuz 1989 tarihli; AİHM, Amann v. İsviçre, 27798/95 sayılı ve16 Şubat 2000 tarihli; AİHM, Rotaru v. Romanya, 28341/95 sayılı ve 4 Mayıs 2000 tarihli; Segerstedt-Wiberg ve Diğerleri v. İsveç, 62332/00 sayılı ve 6 Haziran 2006 tarihli kararlar, https://hudoc.echr.coe.int/ . Erişim Tarihi: 9 Şubat 2020.
57 Avrupa Birliği’nin resmi internet sitesi ve detaylı bilgi için şu adresi ziyaret edebilirsiniz:
https://europa.eu/european-union/index_en Erişim Tarihi: 9 Şubat 2020. Bundan sonra “AB” olarak anılacaktır.
18
Kişisel verilerin korunmasını temel insan haklarının kapsamında gören Batı Avrupa ülkeleri, veri koruması hukukunun lokomotifi konumundadır58.
3.4.1. 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi
Avrupa Birliği tarafından hazırlıklarına 1990’lı yıllarda başlanan ve 24 Ekim 1995 tarihinde Avrupa Konseyi tarafından yayınlanan “95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi”59 kişisel verilerin
korunması hukukundaki en önemli düzenlemelerden biridir. Direktif ile birlikte kişisel verilerin AB içerisinde korunmasına ve bu verilerin sınır ötesi serbest dolaşımına ilişkin kurallar belirlenmiştir60.
Direktif’in “Veri Kalitesine İlişkin İlkeler” başlıklı 6. maddesindeki ilkeler aşağıdaki gibidir:
• “Hukuka ve dürüstlük kurallarına uygun olma, • Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, • Doğru ve gerektiğinde güncel olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
Yukarıda özetlenen ve ileride ayrı bir başlık altında detaylı açıklayacağımız ilkelerin neredeyse aynıları 6698 sayılı Kanun’un (kişisel verilerin işlenmesinde) “Genel İlkeler” başlıklı 4. maddesinde de düzenlenmiştir. Kanun’un, sadece bu
58 Dülger, s.32.
59 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin
Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’nin (İngilizcesi, Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data) İngilizce metni için şu adresi ziyaret edebilirsiniz: https://eur-lex.europa.eu/eli/dir/1995/46/oj?eliuri=eli:dir:1995:46:oj Erişim Tarihi: 11 Şubat 2020. 95/46/EC Sayılı Direktif bundan sonra “Direktif” olarak anılacaktır.
60 Başalp, s. 26; Leyla Keser, Mahir Ülgü, Cüneyd Er, Elektronik Sağlık Kayıtları ve Özel
19
madde özelinde değil genel itibariyle Direktif’in diğer düzenlemeleri ile de ciddi anlamda benzerlikleri bulunmaktadır. Bu ilkelerin benzerleri 108 Sayılı Sözleşme’de düzenlenen ilkelerle benzerlik göstermektedir.
Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın61 288. maddesi uyarınca
direktiflerin üye ülkeler tarafından doğrudan uygulanması söz konusu değildir. Direktifler, üye ülkelere belirli bir konuda ulaşılmak istenen amacı, birlik içinde tüm üye devletlerin uyumlu hale gelmesini istedikleri hedefi belirlemektedir. Bu kapsamda direktifler ulaşılması istenen sonuçlar itibariyle muhatap her üye devleti bağlamaktadır. Üye devletlerin, direktiflerde yer alan düzenlemeleri iç hukuklarına adapte ederken şekil ve yöntem açısından takdir yetkileri bulunmaktadır. Bu durum zamanla üye devletlerin mevzuatında hedeflenen yeknesaklığı sağlayamamasına ve üye devletler arasındaki uygulamaların birbirinden farklılık göstermesine sebep olmuştur. Sonuç itibariyle Direktif getiriliş amacını tam anlamıyla gerçekleştirememiş ve AB içinde daha etkili, güncel ihtiyaçlara çözüm getiren ve üye devletlerin uygulamalarını birbiriyle uyumlu hale getirecek bir düzenleme yapılması ihtiyacı doğmuştur62.
3.4.2. Avrupa Birliği Temel Haklar Şartı
Avrupa Birliği Temel Haklar Şartı, 7 Aralık 2000 tarihinde Fransa’nın Nice şehrinde kabul edilmiş ve Lizbon Antlaşması’nın yürürlüğe girdiği tarih olan 1 Aralık 2009’da tam anlamıyla yürürlüğe girmiştir63. Düzenlemenin amacı Avrupa
vatandaşları ve AB’de yaşayan tüm insanların temel hak ve özgürlüklerini, siyasal ve ekonomik haklarını tek bir hukuki düzenleme altında toplamaktır.
Şartın “Özgürlükler” başlıklı İkinci Bölümünün “Özel ve Aile Hayatına Saygı” başlıklı 7. maddesi şöyledir:
61 Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın Türkçe metnine şu uzantıdan ulaşabilirsiniz:
https://www.ab.gov.tr/files/pub/antlasmalar.pdf Erişim Tarihi: 11 Şubat 2020.
62 Nilgün Başalp, “Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri”,
Marmara Üniversitesi Hukuk Araştırmaları Dergisi, Cilt 21, Sayı 1, s. 77-105, 2015, s. 82.
63 Avrupa Birliği Temel Hakları Şartı’nın (İngilizcesi, Charter of the Fundamental Rights of the
European Union) İngilizce metnine şu uzantıdan ulaşabilirsiniz:
20
“(1) Herkes özel ve aile yaşamına, evine ve iletişimine saygı gösterilmesi
hakkına sahiptir.”
Görüleceği üzere yukarıdaki maddede AİHS m. 8/1’den farklı olarak “haberleşme” ifadesi yerine “iletişim” ifadesi kullanılmış, böylece koruma alanı genişletilmiş ve her türlü yeni iletişim aracının da kapsanması konusunda herhangi bir soru işareti bırakılmamıştır64.
Avrupa Birliği Temel Haklar Şartı’nın “Kişisel Verilerin Korunması” başlıklı 8. maddesi şöyledir:
“(1) Herkes, kendisine ilişkin kişisel bilgilerinin korunmasını isteme
hakkına sahiptir.
(2) Bu tür bilgiler, belirtilen amaçlar için ve ilgili kişinin rızasına veya kanunda öngörülen diğer meşru bir temele dayalı olarak işlenebilir. Herkes kendisi hakkında toplanmış bu verilere erişme ve bunları düzelttirme hakkına sahiptir.
(3) Bu kurallara uyulması bağımsız bir makam tarafından denetlenecektir.”
Bu iki maddenin birbirinden bağımsız hükümler olarak yazılmasının bireyin kişisel verilerin korunması hakkına, özel hayatın gizliliği hakkından ayrı bir koruma sağlanması bakımından önemi bulunmaktadır.
3.4.3. 2002/58/EC Sayılı Haberleşme Sektöründe Özel Yaşamın Korunması ve Kişisel Verilerin İşlenmesi Direktifi
95/46/EC Sayılı Direktif, AB içinde o zamana kadar kişisel verilerin korunması konusunda hazırlanan en geniş kapsamlı düzenleme olmuş ise de zamanla sektörel bazda özel ihtiyaçlar belirmiştir. Bu kapsamda 15 Aralık 1997 yılında haberleşme sektörünün veri koruma hukukundaki ihtiyaçlarının karşılanması için 97/66/EC Sayılı Haberleşmenin Gizliliği Direktifi65 çıkarılmıştır.
64 Küzeci, s. 163.
65 97/66/EC Sayılı Haberleşmenin Gizliliği Direktifi’nin (İngilizcesi, Directive 97/66/EC of the
European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector) İngilizce metnine şu uzantıdan ulaşabilirsiniz: https://eur-lex.europa.eu/eli/dir/1997/66/oj Erişim Tarihi: 13 Şubat 2020.
21
Bu direktif incelendiğinde özellikle telekomünikasyon sektöründe hizmet verenlere kullanıcıların haberleşmelerinin gizliliğini sağlamaları için bir dizi sorumluluklar getirildiği görülmektedir.
Teknolojik gelişmeler neticesinde elektronik haberleşmenin yaygınlaşması ve yeni ihtiyaçlar doğrultusunda 12 Temmuz 2002 tarihinde elektronik haberleşme sektöründe rekabetin arttırılması ve kullanıcıların gizliliklerinin korunması amacıyla “Avrupa Parlamentosu ve Konseyi’nin 2002/58/EC Sayılı Haberleşme Sektöründe Özel Yaşamın Korunması ve Kişisel Verilerin İşlenmesi Direktifi” kabul edilerek 97/66/EC Sayılı Haberleşmenin Gizliliği Direktifi ilga edilmiştir. Bu direktif kapsamında üye devletlere elektronik iletişim araçlarındaki iletişim trafiği ile konum bilgilerini kayıt altında tutma yükümlülüğü getirilmiştir, ayrıca iletişim araçlarıyla yapılan haberleşmelerde elde edilen kişisel verilerin meşru şekilde işlenmesi düzenlenmiştir66.
2002/58/EC Sayılı Direktif’in metninin içerisinde 95/46/EC Sayılı Direktif’e çok sayıda atıfta bulunulduğunu ve esasen 95/46/EC Sayılı Direktif’i tamamlayıcı nitelikte olduğunu67 belirtmek isteriz.
3.4.4. 2016/680 Sayılı Emniyet Teşkilatında Kişisel Verilerin Korunmasına İlişkin Direktif
95/46/EC Sayılı Direktif’in yürürlüğünün devam ettiği dönemde emniyet teşkilatı için de bir ek düzenleme yapılması ihtiyacı doğmuştur. Bu konudaki ilk yasal düzenleme bir çerçeve kararı ile yapılmıştır. AB Konseyi’nin 27 Kasım 2008 tarihli ve 2008/977/JHA Sayılı Çerçeve Kararı’nda68 cezai konularda kolluk
teşkilatının adli iş birliği yapmasına ilişkin kurallar düzenlenmiştir. Bu kararda kolluk teşkilatı ve adli teşkilatın verileri yalnızca üye devletler arasında paylaşılabilmesi ve buna ilişkin çeşitli diğer kurallar düzenlenirken, emniyet
66 Şimşek, s. 57. 67 Dülger, s. 36.
68 2008/977/JHA Sayılı Çerçeve Kararı’nın İngilizce metnine şu uzantıdan ulaşabilirsiniz:
